Endpoint Detection and Response (EDR)
Kejahatan siber saat ini sudah banyak terjadi pada era globalisasi. Hal tersebut terjadi karena pesatnya perkembangan teknologi pada era globalisasi ini sehingga oknum-oknum yang tidak bertanggung jawab tersebut dapat dengan mudah meretas data yang terdapat pada suatu sistem informasi pada perusahaan atau entitas-entitas pemerintahan. Misalnya saja kasus yang terjadi di Indonesia seperti serangan ransomware pada BSI ataupun Kantor Pajak di Indonesia seperti yang dilansir pada laman cnbc.com.
Atas hal tersebut, perusahaan ataupun entitas yang sudah mengaplikasikan sistem informasi pada proses bisnis mereka wajib mengaplikasikan suatu pertahanan dari serangan-serangan yang dapat mengganggu ataupun merugikan perusahaan nantinya. Salah satu cara yang dapat digunakan adalah dengan meggunakan Endpoint Detection and Response.
Pengertian Endpoint Detection and Response (EDR)
Endpoint detection and response (EDR) merupakan suatu software (perangkat lunak) di bidang keamanan yang dapat digunakan untuk membantu suatu entitas untuk dapat memberikan perlindungan terhadap jaringan komputer dari kejahatan siber dan aktivitas jahat. Perangkat lunak tersebut dapat melakukan pemantauan atas lalu lintas jaringan serta menemukan tanda-tanda dari aktivitas yang dianggap mencurigakan, misalnya pola komunikasi yang tidak biasa ataupun perubahan yang terjadi pada data di sistem.
Apabila EDR mendeteksi aktivitas yang mencurigakan tersebut, EDR akan mengambil tindakan ataupun dapat memberkan peringatan kepada administrator agar dapat menyelidiki lebih lanjut terkait dengan aktivitas yang mencurigakan tersebut. Pada dasarnya, EDR diciptakan untuk dapat melakukan deteksi serta merespon dengan aktif terdapat serangan siber termasuk juga malware, karena konsep EDR tersebut yang mampun untuk mengenali pola yang mencurigakan sehingga akan dapat diselidiki lebih lanjut.
Dengan menggunakan EDR, entitas akan diberikan kemudahan dalam melakukan indentifikasi penyerang, melakukan respon dengan tepat atas serangan-serangan siber yang terjadi, sehingga akan dapat mencegah kerusakan lebih lanjut. Ini merupakan suatu komponen penting dari departemen keamanan siber yang tepat karena selain berfokus pada pencegahan serangan, software tersebut juga memiliki kemampuan untuk memitigasi dan juga mengurangi kerusakan akibat penyusupan oleh penyerang.
Cara Kerja EDR
EDR dapat merekam semua kegiatan dan peristiwa di tempat kerja, serta beban kerja. Hal tersebut memberikan tim keamanan siber hal-hal yang diperlukan untuk mengungkap insiden yang tidak terlihat. EDR harus menyediakan visibilitas waktu nyata terus-menerus dan komprehensif. Alat EDR harus memberikan kemampuan deteksi ancaman lanjutan, investigasi, dan respons, termasuk pencarian data insiden dan investigasi , validasi aktivitas yang mencurigakan, ancaman, dan deteksi dan penanganan aktivitas yang dapat  merugikan perusahaan.
Fungsi utama dari EDR adalah sebagai berikut:
- Melakukan pemantauan dan mengumpulkan data terkait aktifitas dari endpoint yang terdapat indikasi atas ancaman.
- Melakukan analisis pada data di atas untuk mengidentifikasi pola dari ancaman yang terjadi.
- Secara otomatis melakukan respon atas ancaman yang teridentifikasi dengan menghilangkan ancaman tersebut dan memberikan peringatan kepada administrator.
- Merupakan alat yang digunakan untuk analisis dan alat forensic untuk meneliti ancaman yang terlah terindikasi dan mencari aktivitas yang mencurigakan.
Atas fungsi-fungsi tersebut dapat disimpulkan bahwa EDR harus memiliki kemampuan-kemampuan antara lain mengumpulkan data endpoint, analisis atas data dan juga forensik, kemampuan menemukan ancaman, serta memiliki respon yang secara otomatis dapat memblokir aktivitas-aktivitas yang berbahaya.
Berdasarkan atas fungsi-fungsi utama dari EDR di atas, jelas EDR akan memberikan peningkatan atas visibilitas dalam endpoint dan memungkinkan untuk memberikan respon yang lebih cepat untuk menangkal ancaman kejahatan siber dibandingkan dengan keamanan secara tradisional. Selain itu, EDR dapat juga mendeteksi dan melindungi perusahaan dari malware tingkat lanjut seperti phising dan malware polimorfik. Jadi EDR tersebut bekerja didasarkan pada algoritma dan AI dimana pembelajaran mesin dirancang untuk dapat menemukan jenis malware yang belum pernah diketahui dan kemudian dilakukan pembuatan keputusan secara kategorisasi yang berbasis pada perilaku.
EDR vs Antivirus
EDR memiliki beberapa fitur dan manfaat yang tidak dimilki oleh antivirus biasa. Antivitus memiliki sistem yang lebih sederhana dan merupakan bagian dari EDR itu sendiri, sedangkan EDR memiliki perlindungan yang jauh lebih luas dan wajib mencakup beberapa lapisan atas keamanan sehingga dapat mendeteksi dan memblokir serangan-serangan yang berbahaya.
Perlindungan atas data-data yang dimiliki perusahaan merupakan hal yang sangat penting dan krusial karena pada saat ini banyak jenis malware jenis baru yang tercipta karena pesatnya perkembangan teknologi. Oleh karena itu, diperlukan suatu proteksi yang lebih menyeluruh dan terintegrasi dalam menangani ancaman siber tersebut. Sehingga, saat ini perusahaan sebaiknya menggunakan EDR dibandingkan hanya menggunakan antivirus yang masih bersifat tradisional.
Mengapa EDR Diperlukan?
Endpoint detection and response (EDR) merupakan sebuah solusi kemanan yang dapat membantu entitas dalam melakukan deteksi, investigasi serta merespon ancaman-ancaman tingkat lanjut yang telah melakukan penyusupan dalam sistem perusahaan. Dengan pemantauan serta analisis aktivitas pada perangkat endpoint yang dilajukan secara terus menerus, EDR akan dapat memberikan visibilitas atas perilaku-perilaku yang mencurigakan kepada departemen keamanan siber serta memberikan hal-hal yang diperlukan untuk menentukan apakah suatu kejadian merupakan suatu ancaman asli atau palsu. Selain itu, EDR juga dapat melakukan otomatisasi respon terhadap kejadian-kejadian yang mecurigakan sehingga akan menjadi lebih efektif dan efisien dalam menggunakan sumber daya dalam keamanan siber tersebut dibandingkan dengan melakukan secara manual.
Aplikasi EDR
Berikut adalah langkah-langkah dalam menerapkan software EDR (menggunakan Symantec Endpoint Protection versi 14).
1. Unduh software Symantec Endpoint Protection versi 14 melalui website resmi Symantec atau dapat juga melalui situs https://www.broadcom.com/support/security-center/definitions/download/detail?gid=sep14.
2. Setelah software Symantec Endpoint Protection terunduh, langkah selanjutnya adalah melakukan instalasi software tersebut pada komputer kita seperti gambar di bawah ini.
3. Setelah selesai melakukan instalasi, langkah selanjutnya adalah membuka Symantec Endpoint Protection melalui icon di kanan bawah sehingga terbuka windows seperti pada gambar di bawah ini. Dari gambar tersebut, dapat kita lihat bahwa Symantec Threat Protection berbeda dengan antivirus pada umumnya yang hanya melakukan deteksi atas virus komputer saja. Sedangkan Symantec Endpoint Protection tersebut juga melakukan deteksi atas aktivitas-aktivitas yang mencurigakan.
4. Untuk melakukan scanning, klik Scan For Threats. Pada software tersebut terdapat dua pilihan dalam melakukan scanning yaitu Active Scan dan Full Scan. Active scan yaitu scanning yang dilakukan dengan cepat. Sedangkan Full Scan dilakukan dengan durasi yang lama namun scanning yang dilakukan lebih mendalam. Kemudian kita dapat memilih Run Active Scan.
5. Kemudian tunggu hingga scanning yang dijalankan oleh software tersebut selesai seperti gambar di bawah ini. Berdasarkan dengan hasil scan tersebut, tidak terdapat ancaman pada komputer sesuai dengan gambar di bawah ini.
Kesimpulan
EDR dapat dengan cepat menjadi alat yang penting terutama bagi divisi keamanan siber dalam perusahaan. Hal tersebut karena EDR meupakan salah satu solusi yang harus tersedia agar perusahaan dapat mengamankan data-data yang terdapat dalam perusahaan dan terhindar dari kejahatan siber.
Referensi
https://www.asdf.id/endpoint-detection-and-rensponse/
https://bitdefenderindonesia.com/apa-edr/
https://www.broadcom.com/support/security-center/definitions/download/detail?gid=sep14
https://www.trellix.com/security-awareness/endpoint/what-is-endpoint-detection-and-response/
